A Tartománynévrendszer (DNS) eredetileg nyílt protokollként készült. Ezért sebezhető a támadásokkal szemben. A Windows Server 2008 DNS biztonsági szolgáltatások hozzáadásával segít megelőzni a DNS-infrastruktúra ellen irányuló támadásokat. Tisztában kell lennie a szervezetben felmerülő általános, a tartománynévrendszert érintő biztonsági fenyegetésekkel, mielőtt eldöntené, mely biztonsági szolgáltatásokat kívánja használni.
A DNS-t érintő biztonsági fenyegetések
A következő felsorolásban tipikus módszereket talál, amelyekkel a támadók a DNS-infrastruktúrát fenyegethetik:
-
Feltérképezés: A folyamat során a támadó DNS-zónadatokat, például DNS-tartományneveket, számítógépneveket és érzékeny hálózati erőforrások IP-címeit szerzi meg. A támadó gyakran azzal kezdi a támadást, hogy az itt említett DNS-adatokkal diagramot készít egy hálózatról, más néven „feltérképezi” azt. A DNS-tartománynevek és -számítógépnevek általában egy tartomány vagy egy számítógép funkcióját vagy helyét jelölik, így a felhasználók könnyebben felismerik és megjegyzik a tartományokat és számítógépeket. Egy támadó a tartománynévrendszer ezen sajátosságát használja ki ahhoz, hogy megismerje a hálózatban lévő tartományok és számítógépek funkcióját és helyét.
-
Szolgáltatás elérhetetlenségét okozó támadás: Egy támadó kísérlete arra, hogy megakadályozza a hálózati szolgáltatások elérhetőségét. Ehhez a hálózatban lévő egy vagy több DNS-kiszolgálót rekurzív lekérdezésekkel áraszt el. Mivel a támadó a DNS-kiszolgálót lekérdezésekkel árasztja el, a kiszolgáló idővel eléri processzor-teljesítőképességének határát, és a DNS-kiszolgálószolgáltatás nem lesz elérhető. Ha a hálózatban nincs egy teljesen működőképes DNS-kiszolgáló sem, akkor azok a hálózati szolgáltatások, amelyek DNS-t használnak, nem elérhetők a hálózati felhasználók számára.
-
Adatmódosítás: Egy támadó (aki már elkészítette a hálózat térképét a DNS használatával) kísérlete arra, hogy érvényes IP-címeket használjon általa készített IP-csomagokban, amelyek azt a benyomást keltik, hogy érvényes IP-címről érkeznek a hálózatban. Ezt gyakran IP-lopási technikának hívják. Egy érvényes IP-címmel (az alhálózat IP-címtartományába tartozó IP-címmel) a támadó hozzáférhet a hálózathoz, és adatokat semmisíthet meg, vagy további támadásokat indíthat.
-
Átirányítás: Egy támadó átirányítja a DNS-névlekérdezéseket a saját irányítása alatt álló kiszolgálókra. Az átirányítás egyik módszere az, amikor a támadó kísérletet tesz a DNS-kiszolgáló DNS-gyorsítótárának hibás DNS-adatokkal való szennyezésére, amivel a későbbi lekérdezéseket a támadó irányítása alatt álló kiszolgálókra irányíthatja. Ha a lekérdezés például eredetileg a valami.de-jo-jatek.hu számára készült, és a hivatkozó válasz a de-jo-jatek.hu tartományon kívüli névre mutató rekordot ad, ami lehet például rosszindulatu-felhasznalo.com, akkor a DNS-kiszolgáló a gyorsítótárazott adatokat használja a rosszindulatu-felhasznalo.com név feloldásához. A támadók bármikor végrehajthatnak átirányítást, ha írási jogokat biztosító hozzáférésük van a DNS-adatokhoz, ami akkor fordulhat elő, ha például a dinamikus frissítések nem biztonságosak.
A DNS-t érintő biztonsági fenyegetések veszélyeinek mérséklése
A DNS beállítható úgy, hogy csökkentse ezeknek a gyakori, DNS-sel kapcsolatos biztonsági problémáknak a hatását. A következő táblázat felsorol öt fő területet, amelyekre érdemes odafigyelni a DNS biztonságát érintően.
DNS-biztonsági terület | Leírás |
---|---|
DNS-névtér |
A DNS-névtér tervezése során figyeljen oda a biztonsági szempontokra is. További információt a DNS-telepítés biztonságossá tétele című témakörben talál. |
DNS-kiszolgálószolgáltatás |
Tekintse át a DNS-kiszolgálószolgáltatás alapértelmezett biztonsági beállításait, és alkalmazza az Active Directory biztonsági szolgáltatásait, ha a DNS-kiszolgálószolgáltatás egy tartományvezérlőn fut. További információt A DNS-kiszolgáló szolgáltatás biztonságossá tétele című témakörben talál. |
DNS-zónák |
Tekintse át a DNS-zóna alapértelmezett biztonsági beállításait, és alkalmazza az Active Directory biztonsági szolgáltatásait, ha a DNS-zóna egy tartományvezérlőn van tárolva. További információt a DNS-zónák biztonságossá tétele című témakörben talál. |
DNS-erőforrásrekordok |
Tekintse át a DNS-erőforrásrekordok alapértelmezett biztonsági beállításait, és alkalmazza az Active Directory biztonsági szolgáltatásait, ha a DNS-erőforrásrekordok egy tartományvezérlőn vannak tárolva. További információt a DNS-erőforrásrekordok biztonságossá tétele című témakörben talál. |
DNS-ügyfelek |
Szabályozza, hogy a DNS-ügyfelek mely DNS-kiszolgálók IP-címeit használhatják. További információt a A DNS-ügyfelek biztonságossá tétele című témakörben talál. |
A DNS biztonságának három szintje
A következő szakaszok a DNS-biztonság három szintjét ismertetik.
Alacsony biztonsági szint
Az alacsony biztonsági szint a DNS általános üzembe helyezése biztonsági óvintézkedések beállítása nélkül. Csak olyan hálózati környezetben alkalmazza ezt a biztonsági szintet, ahol nem aggódik a DNS-adatok sértetlenségéért, vagy egy magánhálózaton, ahol nem fenyegetik külső támadások. Az alacsony DNS-biztonsági szint a következő tulajdonságokkal rendelkezik:
-
A szervezet DNS-infrastruktúrája teljesen közvetlenül kapcsolódik az internethez.
-
A hálózatban lévő minden DNS-kiszolgáló szokásos DNS-névfeloldást hajt végre.
-
Az összes DNS-kiszolgáló gyökérmutatója az internetes gyökérkiszolgálókra mutat.
-
Az DNS-kiszolgálók bármilyen kiszolgálónak engedélyeznek zónaletöltést.
-
Minden DNS-kiszolgáló úgy van konfigurálva, hogy az összes IP-címét figyelje.
-
A gyorsítótár-szennyezés megelőzése minden DNS-kiszolgálón le van tiltva.
-
A dinamikus frissítés az összes DNS-zónára engedélyezett.
-
Az 53-as UDP- és TCP/IP-port nyitva van a hálózati tűzfalon mind a forrás-, mind a célcímekhez.
Közepes biztonsági szint
A közepes biztonsági szint olyan DNS-biztonsági szolgáltatásokat használ, amelyek elérhetők akkor is, ha a DNS-kiszolgálókat nem tartományvezérlőkön futtatja, és a DNS-zónákat nem az Active Directory tartományi szolgáltatásokban tárolja. A közepes DNS-biztonsági szint a következő jellemzőkkel rendelkezik:
-
A szervezet DNS-infrastruktúrája korlátozott módon kapcsolódik az internethez.
-
Az összes DNS-kiszolgáló úgy van beállítva, hogy a továbbítókkal a belső DNS-kiszolgálók egy adott listájára mutasson, ha nem tudja a névfeloldást helyben elvégezni.
-
A DNS-kiszolgálók csak azoknak a DNS-kiszolgálóknak engedélyezik a zónaletöltéseket, amelyek szerepelnek a zónáikhoz tartozó névkiszolgáló (NS) típusú erőforrásrekordokban.
-
A DNS-kiszolgálók úgy vannak konfigurálva, hogy csak megadott IP-címeket figyeljenek.
-
A gyorsítótár-szennyezés megelőzése minden DNS-kiszolgálón engedélyezett.
-
A nem biztonságos dinamikus frissítés egyik zónában sincs engedélyezve.
-
A belső DNS-kiszolgálók a tűzfalon keresztül csak korlátozott forrás- és célcímekkel kommunikálhatnak a külső kiszolgálókkal.
-
A tűzfal előtt lévő külső DNS-kiszolgálók gyökérmutatói a beállítások alapján az internetes gyökérkiszolgálókra mutatnak.
-
Az internetes névfeloldás minden esetben proxykiszolgálókkal és átjárókon keresztül történik.
Magas szintű biztonság
A magas biztonsági szint ugyanazt a konfigurációt használja, mint a közepes biztonsági szint. Ezen felül használja azokat a biztonsági szolgáltatásokat is, amelyek akkor érhetőek el, ha a DNS-kiszolgálószolgáltatás egy tartományvezérlőn fut, és a DNS-zónák az Active Directory tartományi szolgáltatásokban vannak tárolva. Emellett a magas biztonsági szinttel teljesen elkerülhető a DNS-adatkommunikáció az interneten. Ez nem egy tipikus konfiguráció, de ajánlott minden olyan esetben, amikor nincs szükség internetes kapcsolatra. A magas DNS-biztonsági szint a következő jellemzőkkel rendelkezik:
-
A szervezet DNS-infrastruktúrájában a belső DNS-kiszolgálók nem kommunikálnak az interneten.
-
A hálózat egy belső DNS-gyökeret és -névteret használ, ahol a DNS-zónáknak csak belső hatáskörük van.
-
Azok a DNS-kiszolgálók, amelyekhez továbbítók vannak beállítva, csak belső DNS-kiszolgálói IP-címeket használnak.
-
A DNS-kiszolgálók a zónaletöltéseket megadott IP-címekre korlátozzák.
-
A DNS-kiszolgálók úgy vannak konfigurálva, hogy csak megadott IP-címeket figyeljenek.
-
A gyorsítótár-szennyezés megelőzése minden DNS-kiszolgálón engedélyezett.
-
A belső DNS-kiszolgálók úgy vannak beállítva, hogy a gyökérmutatójuk azokra a belső DNS-kiszolgálókra mutasson, amelyek a belső névtérhez tartozó gyökérzónákat tartalmazzák.
-
Minden DNS-kiszolgáló tartományvezérlőn fut. Egy tulajdonosi hozzáférés-vezérlési lista (DACL) van beállítva a DNS-kiszolgálószolgáltatáson, amely csak a megadott személyeknek engedélyezi a felügyeleti feladatok végrehajtását a kiszolgálón.
-
Az összes DNS-zóna az Active Directory tartományi szolgáltatásokban van tárolva. Be van állítva egy tulajdonosi hozzáférés-vezérlési lista (DACL), hogy csak megadott személyek hozhassanak létre, törölhessenek vagy módosíthassanak DNS-zónákat.
-
Tulajdonosi hozzáférés-vezérlési listák (DACL) vannak konfigurálva a DNS-erőforrásrekordokon, hogy a rendszer csak megadott személyeknek engedélyezze a DNS-adatok létrehozását, törlését vagy módosítását.
-
Biztonságos dinamikus frissítések vannak konfigurálva a DNS-zónákra, kivéve a legfelsőbb szintű és gyökérzónákat, amelyeknél egyáltalán nincsenek engedélyezve a dinamikus frissítések.